A-riochoffsites Разбить их на группы-роли и потом только добавлять юзверя в группу.
роли - это НЕ группы, а строго ПРОТИВОПОЛОЖНАЯ группам вещь

группы нужны чтобы складывать права.

а роли - чтобы вычитать права.

повторяю:

Ariochесли тебе не нужны роли, то тебе не нужны роли

роли были придуманны именно затем, чтобы у одного пользователя были разные профили безопасности

но если тебе не нужно этого, если тебе нужно чтобы у пользователя был только один набор разрешений - то не нужно для него и заводить "любимую" роль - просто давай все нужные разрешения ему напрямую и живи без ролей.

Если тебе нужны роли как просто шаблоны прав, именованные контейнеры готовых полномочий - не вопрос, пользуйся ими так.

И сделай три stored procedure

1. получив имя пользователя и имя группыроли процедура, проверив права на группу у пользователя, перебирает все права группы и добавляет такие же права пользователю. Это чисто служебная функция.
2. получив имя пользователя удаляет у него все права, потом перебирает все назначенные ему группыроли и для каждой вызывает процедуру 1. Это будет функция "назначить права пользователю Вася Пупкин"
3. получив имя группыроли перебирает всех ей назначенный пользователей и вызывает функцию 2. Это будет "триггер", который ты будешь вызывать после каждого изменения прав у какоу-нибудь группыроли.

Впрочем, устраивать такой abuse ролям имеет смысл только если ты им права назначаешь "врукопашную" через что-то типа IBExpert.
Если же ты это делаешь из своей самописной админки сделаннйо для твоей программы - то роли тут вообще не нужны, а в качестве замены групп - именованных контейнеров для готовых наборов прав - вполне сгодятсья специальные пользователи тиа template$user1, template$user2, template$user3 и т.д.

какой бред ))))))))))))))))))))))
извините, я тут так хохотался

не стесняйтесь читать правильные источники
на ibase.ru есть статья о роли ролей ))))))))))) в firebird
в панель параметров соединения можно запихнуть все что заблагорассудится

DarkMasteroffsites,

Для многопользовательских решений удобнее раздавать права роли, а потом роль грантовать пользователю (меньше записей в системных таблицах + намного меньше путаницы). К тому же пользователю можно назначить 2-3-100500 ролей.. Стандартное решение - при коннекте просить имя+пароль+давать возможность выбора из списка грантованных ролей.

после этого тему можно было бы считать исчерпанной
но с это туевой хучей безграмотных советчиков...

offsitesMaratIsk,

Да уж, кого слушать... Читать маны это конечно обязательно.
Но больше интересует все же совет бывалых о правильном подходе, НО БЕЗ указания пользователем роли. Ну не знаю как с точки зрения программирования, но с точки зрения пользователя это полный бред... По хорошему, для доступа к приватной зоне и небольшом количестве пользователей достаточно одного пароля. Ну ладно, добавили для верности еще и логин. Но роль указывать - уже избыточно. По-моему на КПП сторож должен знать что Иван Иванов не директор.

ты можешь понять, что по-твоему неправильно?
в Oracle поьзователю нет необходимости указывать свою роль как и в MS SQL
но это особенности СУБД как и диалекты SQL
и это надо принимать за данность
или писать свою СУБД ))))))))))))))))))))))))))))))))

Dimitry SibiryakovoffsitesПользователей много. Не хочется каждому человеку вбивать одни и те же права
на каждую таблицу.
Скрипты придумали уже весьма давно. Не собираешься же ты каждому пользователю натыкивать
права в эксперте индивидуально?..


он собирается )))))))))))))))))))))))

offsitesПонял. Это особенности СУБД.
Вопрос решен социальной инженерией - персоналу было объяснено что это необходимо для безопасности базы. Все согласны. Делаем с ролями.
Всем спасибо!

похоже - это твоя первая программа
поздравляю с дебютом!
удачи!